幕后故事：修复野外发现的Firefox漏洞利用链

Tom Ritter
2024年10月11日

在Mozilla，浏览器安全是一项关键使命，其中一部分工作涉及快速响应新威胁。周二东部时间上午8点左右，我们收到了来自反病毒公司ESET的提醒，他们向我们通报了一个在野外发现的Firefox漏洞利用。我们要向ESET表示衷心感谢，感谢他们与我们分享发现——正是这样的合作让网络对每个人来说都更加安全。

我们已经针对这个特定问题发布了修复程序，所以当Firefox提示您升级时，请点击那个按钮。如果您不了解会话恢复功能，可以让Firefox在重启时恢复您之前的会话。

ESET发送给我们的样本包含一个完整的漏洞利用链，允许在用户计算机上执行远程代码。在收到样本的一小时内，我们已经召集了一个由安全、浏览器、编译器和平台工程师组成的团队，对漏洞利用进行逆向工程，强制触发其有效载荷，并理解其工作原理。

在诸如pwn2own之类的漏洞利用竞赛中，我们提前知道何时会收到漏洞利用，可以提前召集团队，并收到漏洞和利用的详细说明。在2024年的pwn2own中，我们在21小时内发布了修复程序，这帮助我们获得了最快补丁行业奖。这次，在没有提前通知且需要进行大量逆向工程的情况下，我们能够在25小时内发布修复程序。（我们正在持续检查流程，以帮助我们进一步缩短这个时间。）

虽然我们为快速响应这些威胁感到自豪，但这只是流程的一部分。虽然我们已经解决了Firefox中的漏洞，但我们的团队将继续分析该漏洞利用，以找到额外的加固措施，使针对Firefox部署漏洞利用变得更加困难和罕见。同样重要的是要记住，这类漏洞利用并非Firefox独有。每个浏览器（和操作系统）都会不时面临安全挑战。这就是为什么保持软件最新在整个领域都至关重要。

一如既往，我们将继续做我们最擅长的事情——加强Firefox的安全性并改进其防御能力。

快速浏览。自由浏览。
下载Firefox